Koniec biuletynów: witamy koszmar Microsoft Security Updates Guide

Drugi wtorek kwietnia przyniósł ostatnie w historii łatki dlaWindows Visty, oraz początek nowego sposobu informowania o lukach woprogramowaniu. Zawierające listy poprawek biuletyny bezpieczeństwa,do których przywykliśmy przez tyle lat, zniknęły. Zamiast nichmamy nowy portal, Security Updates Guide, w którym znaleźć to coważne jest sporymwyzwaniem, a informacje o wydaniu to garść ogólników.

Wprowadzenie Security Updates Guide było już kilkukrotnieprzekładane, według oryginalnych planów portal ten miał ruszyćjuż w styczniu – i szczerze mówiąc, szkoda, że nie zostaliśmyprzy przekładaniu na wieczne nigdy. Wpisna Microsoft Security Response Center trąci typową dla Applelakonicznością: wydajemy aktualizacje bezpieczeństwa abydostarczyć dodatkowe zabezpieczenia przeciwko złośliwymnapastnikom. Rekomendowaną najlepszą praktyką jest włączenieautomatycznych aktualizacji.

Z informacjio wydaniu też się za wiele nie dowiecie. Mamy listęoprogramowania, które otrzymało łatki (Internet Explorer,Microsoft Edge, Windows, Microsoft Office, Visual Studio for Mac,.NET Framework, Silverlight i Flash Player), oraz kilka ogólnikowychzdań o zmianach w procedurach aktualizacji. Nie ma czym sięprzejmować, prawda?

A jednak jest. Jak już zaczniemy bawić się Security UpdatesGuide (po zaakceptowaniu warunków korzystania z usługi, cokolwiekby w nich nie było), znajdziemy łącznie 650 łatek na wszystkiesystemy i wersje oprogramowania, a licząc po unikatowychidentyfikatorach CVE – 45 odkrytych i załatanych luk. Można je naszczęście posortować po ich istotności. Przyjrzymy się bliżejgłównie krytycznym.

Microsoft Edge zagrożony jest przez CVE-2017-0093i CVE-2017-0200.Pierwszy to błąd w silniku skryptowym pozwalający na uszkodzeniepamięci i w konsekwencji zdalne uruchomienie kodu, czy to przezstrony internetowe, czy dokumenty Office zawierające kontrolkiActiveX. Drugi dotyczy niepoprawnego dostępu do obiektów w pamięci,wiadomo w jakim celu.

Internet Explorer dostał łatki dla CVE-2017-0201i CVE-2017-0202.Pierwsza to luka w silnikach skryptowych JScript i VBScript,pozwalająca na uszkodzenie pamięci i zdalne uruchomienie kodu,także przez osadzone w dokumentach kontrolki ActiveX, druga dotyczyniepoprawnego dostępu do obiektów pamięci – i oczywiście takżezdalne uruchomienie kodu.

Dalej mamy poprawkę dla Microsoft Office i WordPada(CVE-2017-0199),która dotyczy błędu w przetwarzaniu dokumentów RTF (sam Microsoftpisze jedynie o specjalnie spreparowanych plikach),pozwalającego na zdalne uruchomienie kodu. Co ciekawe, w wypadkuwbudowanego w system WordPada uznano zagrożenie to nie za krytyczne,ale „ważne”. Faktycznie, mało krytyczne, że korzystając zluki 0-day w systemowej aplikacji dropper w Visual Basicu pobierasobie bankowego trojana Dridex.

Niewiele wiadomo o krytycznejluce w Outlooku CVE-2017-0106.Ot wygląda na to, że wysyłając odpowiednio spreparowanego e-mailamożemy zmusić tego klienta poczty do uruchomienia własnego kodu.Nie, nie trzeba żadnych załączników, wystarczy otworzyć e-mail wskrzynce odbiorczej.

Mamy też oczywiście sporociekawych luk w samym Windowsie. Creme de la creme to tutajCVE-2017-0162i CVE-2017-0163,które dotyczą hiperwizora Hyper-V. Z maszyny wirtualnej możnauruchomić kod, który poprzez błąd w obsłudze wirtualnego switchasieciowego doprowadzi do wykonania dowolnego kodu na fizycznymhoście. Do tego mamy też CVE-2017-0180i CVE-2017-0181,które również dotyczą takiej ucieczki z maszyny wirtualnej. Ityle po przekonaniu o bezpieczeństwie płynącym z wirtualizacji.

CVE-2017-158dotyczy błędu w silniku skryptowym VBScript, pozwalającego nazdalne uruchomienie kodu przed wszelkie programy wykorzystującesilnik renderujący Internet Explorera, CVE-2017-0205dotyczy zaś uszkodzeń pamięci w Microsoft Edge, też pozwalającychna zdalne uruchomienie kodu. Dlaczego zostały one przypisane do lukw Windowsie, a nie w samych przeglądarkach – trudno powiedzieć.Ot taki bałagan.

Mamy też luki pozwalające nazdalne uruchomienie kodu przez .NET Framework (CVE-2017-0160)oraz cały zbiór atrakcji dla Flash Playera, opisanych w biuletynieAdobeAPSB17-10, tym razem jedynie siedem luk RCE.

Warto też wspomnieć o błędzie CVE-2017-0210w Internet Explorerze, związanym z niewłaściwym stosowaniempolityk uruchamiania kodu między domenami. Możliwe do osiągnięciaw ten sposób podwyższenie uprawnień jest aktywnie exploitowane,dla Microsoftu to jednak tylko „ważny” problem.

Jako „ważne” określono też błędy w win32 – dwapozwalające na wyciek informacji z kernela NT (CVE-2017-0058i CVE-2017-0188)i jeden zapewniający podwyższenie uprawnień uruchamianego kodu(CVE-2017-0189).Informacje wyciekają też z Windowsa przez bibliotekę libjpeg(CVE-2013-6629).Tak, chodzi o lukę z 2013 roku, załataną na Linuksie jakieścztery lata temu.

Inna ciekawostka, oznaczona jako 2017-2605,to błąd w filtrze EPS w Microsoft Office, pozwalającym na zdalneuruchomienie kodu. Tutaj luki nie załatano, Microsoft po prostudomyślnie włączony filtr dla popularnego przecież formatuwyłączył. Jak ktoś koniecznie musi korzystać z plików EPS wOffice, to czeka go zabawaz Rejestrem.

Jak widzicie, informacje o wydaniu łatek nawet w przybliżeniunie poruszają powagi zagrożeń, a samodzielne rozpoznanie sytuacjipoprzez ten koszmarny portal, który nawet nie potrafi porządniesortować, grupować i filtrować danych, zajmuje znacznie więcejczasu, niż klasyczne zapoznanie się z biuletynami.

By dołożyć łyżkę dziegciu do tej beczki dziegciu, wspomnijmyo ciekawym efekcie ubocznym pakietów łatek KB4015549, KB4015546,KB4015550 oraz KB4015547 przeznaczonych dla Windows 7 i 8.1. Zjakiegoś powodu blokują one otrzymywanie aktualizacji przez WindowsUpdate na komputerach z procesorami AMD Carizzo. Problem ma byćrozwiązany w przyszłości. Może się komuś Carizzo z Ryzenempomyliło?